Datenschutz-Compliance – Call to Action!

Schwerpunktprüfungen 2026

Die Schwerpunktprüfungen des Jahres 2026 betreffen die Einhaltung der Transparenz- und Informationspflichten gemäß Art 12, 13 und 14 DSGVO durch die Verantwortlichen. Die österreichische Datenschutzbehörde hat darüber informiert, zusätzlich auch die Vorgaben zur Sicherheit der Verarbeitung gemäß Art 32 DSGVO (einschließlich der Risikobewertung sowie der damit verbundenen Dokumentationspflichten nach Art 30 und, soweit anwendbar, Art 35 DSGVO) zu prüfen.[2] Damit steht die Umsetzung grundlegender Vorgaben der DSGVO auf dem Prüfstand:

1. Das Recht auf Information und die Transparenzvorschriften sind Kernelemente des Datenschutzrechts, die insbesondere durch die Erstellung und das gewissenhafte, regelmäßige Update der Datenschutzerklärungen ("Privacy Policies") erfüllt werden. Datenschutzerklärungen müssen von den Verantwortlichen stets auf dem neuesten Stand gehalten werden und aktuelle und vollständige Informationen gemäß Art 13, 14 DSGVO enthalten. Wesentliche Änderungen in den Datenverarbeitungstätigkeiten sind den Betroffenen zur Kenntnis zu bringen. Zum Teil ist hierbei ein bloßes Update der Datenschutzerklärung nicht ausreichend.
2. Die Dokumentationspflicht der Verantwortlichen besteht insbesondere in der Führung eines Verarbeitungsverzeichnisses gemäß Art 30 DSGVO. Auch dieses hat stets aktuell zu sein und muss die aktuellen Datenverarbeitungsprozesse des Verantwortlichen vollständig und detailliert abbilden.
3. Die Vorgaben zur Sicherheit der Verarbeitung betreffen die technischen und organisatorischen Maßnahmen (TOM). Diese müssen angemessen sicher sein und regelmäßig geprüft, verbessert und erneuert werden.
4. Die Risikobewertung betrifft insbesondere die Verpflichtung zur Durchführung einer Datenschutzfolgenabschätzung, wenn die Voraussetzungen gemäß Art 35 DSGVO dafür vorliegen. Wird von einer Folgenabschätzung abgesehen, sind dennoch der Entscheidungsprozess und das Ergebnis zu dokumentieren.

Konkrete To-Dos

Um auf eine allfällige unangekündigte Schwerpunktprüfung durch die Datenschutzbehörde vorbereitet zu sein, ist die gesamte Datenschutzdokumentation des Unternehmens kritisch zu prüfen. Es ist davon auszugehen, dass die Behörde etwaige Ungereimtheiten, die bspw bei der Prüfung des Verarbeitungsverzeichnisses entdeckt werden, genauer prüfen wird. Die gesamte Datenschutzgebarung hat überdies auch die Vorgaben der umfangreichen Datenschutzrechtsprechung der vergangenen Jahre umzusetzen. Als einige Beispiele seien hier die gestufte Verpflichtung zur Mitteilung konkreter Empfängeridentitäten[3], verschärfte Verpflichtungen beim Datentransfer in Drittstaaten[4] und bei der Auswahl und Dokumentation von Rechtsgrundlagen[5] sowie erweiterte Vorgaben zur Stellung des Datenschutzbeauftragten[6] zu nennen. Zusätzlich sind alle Dokumente up-to-date zu halten und die tatsächlichen Datenverarbeitungen sind korrekt und vollständig abzubilden.

Gerne unterstützen wir bei der Umsetzung eines rechtssicheren und vollständigen Updates Ihrer Datenschutz-Compliance und der dazugehörigen Dokumentation!

Autor: Florian Terharen